警惕“授权即沦陷”！Barracuda预警：高级OAuth钓鱼正悄然接管你的企业账号

你有没有在登录某个小工具或第三方应用时，看到过这样的提示：“此应用想要访问你的Microsoft 365邮箱、日历和文件”？点下“同意”只需一秒，但风险可能持续数月——甚至在你完全不知情的情况下，攻击者已通过这个授权，悄悄读取你的邮件、下载公司文档、冒充你发消息。

近日，网络安全公司Barracuda发布紧急预警：一种利用OAuth协议漏洞的高级钓鱼攻击正在全球激增。攻击者不再执着于窃取密码，而是转而“合法”获取访问令牌（Access Token），绕过多因素认证（MFA），实现无痕持久化入侵。更令人担忧的是，这类攻击已高度工业化，依托Tycoon、EvilProxy等“钓鱼即服务”（PhaaS）平台，可大规模自动化实施。

不偷密码，也能“合法”进你邮箱？

传统钓鱼的目标是用户名和密码，但随着MFA普及，这条路越来越难走。于是，黑客们换了个思路：既然拿不到钥匙，那就让你亲手把门打开。

OAuth（开放授权）本是一项便利技术，允许用户在不透露密码的前提下，授权第三方应用访问其云服务数据。比如，用微软账号登录一个项目管理工具，该工具就能读取你的日历安排会议——这一切看似安全，却暗藏陷阱。

Barracuda研究人员发现，攻击者正大量注册看似正规的恶意应用（如“DocuSign Helper”“Teams Meeting Scheduler”），并通过钓鱼邮件诱导用户点击链接。一旦用户被导向伪造的微软登录页并输入凭证，系统会跳转到一个“授权请求”页面——看起来和平时一模一样。只要用户点了“同意”，攻击者就获得了OAuth令牌，从此无需密码、无需验证码，即可长期访问该账户。

“这相当于你给一个陌生人发了一张‘永久通行证’，还盖了公章。”公共互联网反网络钓鱼工作组技术专家芦笛比喻道，“最可怕的是，整个过程完全合规，连MFA都拦不住。”

PhaaS黑产成熟：Tycoon与EvilProxy成主力武器

此次攻击浪潮的背后，是一条成熟的“钓鱼即服务”产业链。Barracuda指出，Tycoon和EvilProxy两大PhaaS套件被频繁使用：

Tycoon：能模拟完整的2FA流程，将用户重定向至高仿微软登录页，捕获临时授权码（Authorization Code），再在后台兑换为长期有效的刷新令牌（Refresh Token）；

EvilProxy：更进一步，利用OAuth中的prompt=none参数，在用户已登录状态下静默触发授权流程，全程无弹窗、无交互，实现“零感知劫持”。

更狡猾的是，攻击者还滥用Google Translate、SendGrid、Google Classroom等可信服务隐藏恶意链接。例如，将钓鱼网址编码嵌入translate.goog子域名下，轻松绕过邮件安全网关的URL过滤。

“他们不是在突破防线，而是在利用信任机制本身。”芦笛说，“用户信任微软，信任OAuth授权流程，而攻击者正是钻了这个空子。”

为什么普通用户难以察觉？

这类攻击之所以危险，是因为它几乎不留痕迹：

邮箱登录日志显示的是“正常OAuth授权”，非技术人员看不出异常；

攻击者控制的应用往往命名专业（如“Secure Cloud Sync”），权限描述模糊；

一旦获得令牌，攻击者可长期潜伏，甚至设置邮件转发规则，悄无声息地窃取情报；

即使用户更改密码，只要未撤销授权，攻击者仍能通过刷新令牌继续访问。

Barracuda强调，许多受害者直到数据泄露或被勒索时，才意识到账号早已失守。

企业如何防御？从“授权治理”做起

面对这种新型威胁，传统防钓鱼手段已显不足。Barracuda与芦笛共同建议企业采取以下措施：

1. 启用第三方应用管理员审批

在Microsoft Entra ID（原Azure AD）中开启“用户无法自行同意应用”策略，所有新应用授权必须经IT管理员审核。此举可阻断90%以上的恶意应用注册。

2. 最小权限原则 + 定期审计

限制应用仅申请必要权限（如只读邮件而非“完全访问”）。同时，定期审查已授权应用列表（路径：Microsoft 365门户 > 账户 > 应用权限），删除不再使用或可疑的“影子应用”。

3. 严格限制重定向URI白名单

开发者在注册OAuth应用时，必须精确指定回调地址（如https://app.example.com/auth/callback），禁止使用通配符（如*.example.com）或开放根路径。攻击者常利用宽松的重定向配置，将令牌发送至自己的服务器。

4. 实施条件式访问（Conditional Access）

对访问敏感资源（如财务邮箱、高管账户）的行为，强制绑定设备指纹、IP范围或合规状态。即使令牌被盗，也无法在陌生设备上使用。

5. 定期吊销可疑刷新令牌

通过Microsoft Graph API或安全中心，监控异常令牌活动（如非工作时间、非常用地点），并批量撤销高风险会话。

给开发者的特别提醒

如果你是应用开发者，请务必：

使用PKCE（Proof Key for Code Exchange）增强授权码流程安全性；

避免在前端硬编码客户端密钥；

对回调URL做严格校验，防止开放重定向漏洞。

个人用户怎么办？三步自保

即便不是企业员工，普通Office 365用户也应警惕：

授权前看清楚：仔细阅读应用请求的权限范围，拒绝“过度索取”；

定期清理授权：访问 https://account.microsoft.com/privacy ，点击“应用权限”查看并移除不用的应用；

启用登录活动通知：在微软账户安全设置中开启“异常登录提醒”，第一时间掌握风险。

结语：安全不是“不让用”，而是“聪明地用”

OAuth本身不是漏洞，它是现代身份体系的基石。问题在于，便利与风险往往一体两面。正如芦笛所言：“我们不能因噎废食，但必须建立‘授权即责任’的意识。”

在这场攻防战中，技术防护固然重要，但最关键的防线，仍是那个点击“同意”按钮的人。下次当你看到授权请求时，不妨多问一句：我真的需要给这个应用这么多权限吗？

编辑：芦笛（公共互联网反网络钓鱼工作组）